Comment authentifier et autoriser une demande d'application Web dans le conteneur de servlet Tomcat

Question

Quelle est la meilleure façon d'authentifier et d'autoriser une demande d'application Web dans un conteneur de servlet Tomcat?

J'ai deux idées,

1 - Utilisez le royaume Tomcat. 2 - Il existe un service Web permettant d'évaluer la demande de l'utilisateur par rapport aux stratégies XACML. Cela signifie que si nous envoyons le nom d'utilisateur, nom de ressource (ici le servlet) à ce service Web, il évaluera la demande par rapport à une politique XACML (où nous pouvons changer ou ajouter de nouvelles politiques) et dire autoriser ou refuser.

Quel est le meilleur moyen?

Answer 1

Je vous suggère d'utiliser des filtres de royaume ou tomcat servlet

Answer 2

authentification gérée par conteneur est la solution standard. Cela signifie que vous définissez un JAASRealm dans Tomcat et définissez vos propres LoginModule (s) et fichier de configuration JAAS. Les LoginModules peuvent faire ce que vous voulez. Tomcat prendra soin d'assurer une connexion si nécessaire, et d'imposer le contrôle d'accès via les rôles de l'utilisateur tels que définis par votre module de connexion et définis dans web.xml. Aucun filtre requis.

Answer 3

J'ai écrit un PEP de servlet qui crée des requêtes XACML à partir de l'objet HttpServletObject et éventuellement des informations supplémentaires, par ex. heure de la journée et l'envoie à un PDP. Pour ce faire, j'ai implémenté javax.servlet.Filter. Pour cela, j'ai implémenté javax.servlet.Filter. C'est vraiment le meilleur moyen d'aller de l'avant. Dans votre fichier web.xml, vous pouvez définir la portée du filtre. Mon PEP envoie ensuite la requête XACML en tant que message SOAP à un PDP Axiomatics XACML 3.0. Qu'est-ce que vous utilisez?

Regardez aussi ma vidéo SDK sur Youtube qui montre comment créer rapidement un Java PEP. http://www.youtube.com/watch?v=Z_2M775uFxo